Throwback: NSA Hacking Tools – Wat u moet weten

[ware_item id=33][/ware_item]

Aankondiging van de veiling van NSA-bureau gemaakt "cyber wapens" door een hacking groep "Shadow Brokers" bevestigt het cachegeheugen van documenten vrijgegeven door klokkenluider Edward Snowden. Het bevestigt inderdaad dat deze NSA-authentieke software in het geheim wordt gebruikt om computers wereldwijd te infecteren. Tijdens het debat over hoe deze software lekte, is één ding onvoorwaardelijk dat deze malware afkomstig is van NSA-bureau.


16 tekenreeks koppelverkoop Shadow Broker lek en malware

Het bewijs dat de gegevensdumps van Shadow Broker verbinding maken met de geclassificeerde handleiding van het interne bureau van de NSA wordt geleverd door Edward Snowden, nog nooit eerder gepubliceerd voor het publiek. De ontwerphandleiding begeleidt NSA-exploitanten bij het volgen van hun gebruik van malwareprogramma's met een tekenreeks van 16 tekens, "ace02468bdf13579". Het Shadow Broker-lek toont deze tekenreeks in de gegevens die de code aan een programma koppelen TWEEDE DATUM.

Wat anderen te zeggen hadden en de NSA-stilte

"Het vervalsen van deze informatie zou monumentaal moeilijk zijn, er is gewoon zo'n enorme hoeveelheid betekenisvolle dingen," zei Nicholas Weaver, een onderzoeker van computerbeveiliging aan de Universiteit van Californië in Berkeley, in een interview met Washington Post. "Veel van deze code mag nooit de NSA verlaten."

De geposte bestanden bleken waar te zijn, volgens voormalig personeel dat in de hackdivisie van het NSA-bureau werkte, bekend als Tailored Access Operations (TAO).

"Zonder twijfel zijn zij de sleutels tot het koninkrijk", zei een voormalige TAO-medewerker, die met WashingtonPost sprak op voorwaarde van anonimiteit om gevoelige interne operaties te bespreken. "De dingen waar je het over hebt, zouden de veiligheid van veel grote overheids- en bedrijfsnetwerken in binnen- en buitenland ondermijnen."

Zei een tweede voormalige TAO-hacker die het bestand zag: "Ik zag geen twijfel dat het legitiem was."

"Het is duidelijk dat dit zeer geavanceerde en authentieke hacktools zijn," zei Oren Falkowitz, CEO van Area 1 Security en een andere voormalige TAO-medewerker.

"Het vervalsen van deze informatie zou monumentaal moeilijk zijn, er is gewoon zo'n enorme hoeveelheid betekenisvolle dingen," zei Nicholas Weaver, een onderzoeker van computerbeveiliging aan de Universiteit van Californië in Berkeley, in een interview met Washington Post. "Veel van deze code mag nooit de NSA verlaten."

Tweeted Snowden: "Omstandig bewijs en conventionele wijsheid duiden op Russische verantwoordelijkheid." Hij zei dat de openbaarmaking "waarschijnlijk een waarschuwing is dat iemand de Amerikaanse verantwoordelijkheid kan bewijzen voor aanvallen die zijn voortgekomen uit deze" redirector of malware-server door deze te koppelen aan het NSA-agentschap.

In gesprek met The Intercept zei cryptograaf Matthew Green van de John Hopkins University:

“Het gevaar van deze exploits is dat ze kunnen worden gebruikt om zich te richten op iedereen die een kwetsbare router gebruikt. Dit komt overeen met het laten liggen van gereedschap voor het uitkiezen van sloten in een cafetaria van een middelbare school. Het is zelfs erger, omdat veel van deze exploits op geen enkele andere manier beschikbaar zijn, dus ze komen nu net onder de aandacht van de firewall- en routerfabrikanten die ze moeten repareren, evenals de kwetsbare klanten. ”

-

Het risico is dus tweeledig: ten eerste, dat de persoon of personen die deze informatie hebben gestolen ze mogelijk tegen ons hebben gebruikt. Als dit inderdaad Rusland is, dan veronderstelt men dat ze waarschijnlijk hun eigen exploits hebben, maar het is niet nodig om ze meer te geven. En nu de exploits zijn vrijgegeven, lopen we het risico dat gewone criminelen ze tegen bedrijfsdoelen zullen gebruiken. "

Beveiligingsonderzoeker Mustafa Al-Bassam plaatste zijn gedetailleerd onderzoek en werkt op de gelekte hulpmiddelen op zijn persoonlijke webpagina.

Aan de andere kant heeft het NSA-bureau geen antwoord gegeven op vragen over Shadow Brokers, de Snowden-documenten of de malware.

Het dilemma van SECONDDATE

Terwijl de andere aanstootgevende malwaretools met de codenaam POLARSNEEZE en ELIGIBLE BOMBSHELL nog steeds worden beoordeeld op hun ware doel. SECONDDATE is de belangrijkste focus vanwege de connectiviteit met de codenaam TURBINE, exploitatie-inspanningen in 2014 en BADDECISION.

De gelekte SECONDDATE, samen met andere malwaretools, is een gespecialiseerd malwareprogramma van NSA Agency dat tot doel heeft de activiteiten van miljoenen computers over de hele wereld te kapen en te controleren. Het markeren van de geschiedenis met de release van deze volledige kopieën van NSA's aanstootgevende malwaretools toont de realiteit van systemen die zijn beschreven in de documenten die Edward Snowden lekte.

SECONDDATE is een kwaadaardig hulpmiddel om webverzoeken te onderscheppen en de browsers om te leiden naar een NSA-webserver. Die server infecteert die computer vervolgens met malware. Die webserver die FOXACID wordt genoemd, wordt eerder genoemd in eerder gelekte documenten van Snowden.

Een sectie in een geclassificeerde handleiding getiteld "FOXACID SOP voor operationeel beheer", een document van 31 pagina's, verwijst naar diezelfde string en beschrijft hulpmiddelen voor het volgen van de slachtoffers doorgestuurd naar FOXACID-webserver, inclusief een tagsysteem dat wordt gebruikt voor catalogusservers samen met verschillende ID's:

Diezelfde MSGID verscheen in 14 verschillende bestanden van ShadowBroker-lek, inclusief een bestandsnaam met de naam "SecondDate-3021.exe".

TWEEDE DATUM en BADDECISIE

Het bestaan ​​van SECONDDATE past in de eerder niet-gepubliceerde lekken van Edward Snowden die SECONDDATE verbinden met BADDECISION, een breder hulpmiddel voor infiltratie.

In 2010 lekte documenten, was een powerpoint-presentatie genaamd "Inleiding tot BADDECISION," waarin een dia beschreven dat deze tool is ontworpen om gebruikers van een draadloos netwerk, soms ook wel 802.11-netwerk genoemd, naar FOXACID-malwareservers te sturen.

Verder in deze gelekte bestanden, een document met presentatiedocumenten uit april 2013 met de toepassing van SECONDDATE in het buitenland: schending van de VIP-divisie van Pakistan's National Telecommunications Corporation (NTC), met documenten die betrekking hebben op “de ruggengraat van het Green Line-communicatienetwerk van Pakistan” gebruikt door “burger en militair leiderschap. 'en in Libanon voor het infecteren van een Libanese ISP om' 100+ MB Hezbollah Unit 1800-gegevens te extraheren ', een speciale subset van de terroristische groep die zich inzet voor Palestijnse militanten.

SECONDDATE is slechts een van de methoden die het NSA-bureau gebruikt om de browseroverdracht van zijn doelwit naar een FOXACID-server te krijgen. Andere methoden zijn onder meer het verzenden van spam om te infecteren met bugs of webgebaseerde e-maillinks die naar de FOXACID-server leiden.

Wat Edward Snowden te zeggen had?

Terwijl velen denken dat het NSA-bureau wordt gehackt. Maar in de reeks tweets wees hij erop dat de computers die het hoofdkantoor van het NSA-bureau gebruikt om aan te vallen, werden aangetast doordat iemand het systeem niet opschoonde, wat leidde tot een hackergroep die de gelegenheid aangreep.

Foto: Associated Press